LilithBot

LilithBot เป็นภัยคุกคามมัลแวร์ตัวใหม่ที่มีชุดคุณลักษณะการคุกคามที่กว้างขวางซึ่งนำเสนอในรูปแบบ MaaS (Malware-as-a-Service) ภัยคุกคามเป็นส่วนหนึ่งของเครื่องมือแฮ็กเกอร์ที่นำเสนอโดยกลุ่มภัยคุกคามที่ติดตามเป็น Eternity (EternityTeam, Eternity Project) อาชญากรไซเบอร์เริ่มทำงานตั้งแต่อย่างน้อยเดือนมกราคม 2022 และเชื่อมโยงกับ 'Jester Group' ของรัสเซีย รายละเอียดเกี่ยวกับ LilithBot และนักพัฒนาได้รับการเปิดเผยต่อสาธารณะในรายงานโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์

จากการค้นพบของพวกเขา LilithBot ได้รับการเสนอให้กับลูกค้าที่อาจมีแนวโน้มจะเป็นอาชญากรไซเบอร์ผ่านกลุ่ม Telegram โดยเฉพาะ และสามารถซื้อได้โดยไปตามลิงก์ที่นำไปสู่เว็บไซต์ที่โฮสต์บนเครือข่าย Tor ไซต์นี้ทำหน้าที่เป็นโฮมเพจสำหรับผลิตภัณฑ์ของแฮกเกอร์ Eternity โดยเครื่องมือที่แพงที่สุดคือภัยคุกคามจากแรนซัมแวร์

เมื่อพูดถึง LilithBot ภัยคุกคามคือมัลแวร์ที่ซับซ้อนซึ่งรวมเอาฟังก์ชันการทำงานของบ็อตเน็ตเข้ากับตัวขุดคริปโต ปัตตาเลี่ยน และตัวขโมย นักวิจัยของ Infosec สังเกตว่า LilithBot ได้ผ่านการทำซ้ำหลายครั้งในระหว่างกระบวนการพัฒนา โดยคำสั่งในเวอร์ชันก่อนหน้าจะถูกลบออกในรุ่นต่อๆ ไป อย่างไรก็ตาม นักวิจัยเตือนว่าผู้คุกคามอาจยังคงทำหน้าที่ที่ถูกลบออกไป แต่ในทางที่ซ่อนเร้น

เมื่อเปิดใช้งานบนระบบที่ติดเชื้อ ภัยคุกคามจะลงทะเบียนตัวเองเป็นบอทก่อน ถัดไป LilithBot จะถอดรหัสตัวเองเพื่อวางไฟล์การกำหนดค่าบนอุปกรณ์ มัลแวร์ใช้กลไกการถอดรหัสของตัวเองเพื่อป้องกันการถอดรหัสด้วยตนเอง องค์ประกอบขโมยของภัยคุกคามรวบรวมข้อมูลที่มีประวัติเบราว์เซอร์ คุกกี้ และข้อมูลส่วนบุคคล เช่น รูปภาพ ไฟล์ที่ได้รับจะถูกเพิ่มไปยังไฟล์ ZIP ก่อนที่จะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C) ของการดำเนินการ

LilithBot ใช้ใบรับรองปลอมเพื่อเพิ่มโอกาสในการตรวจไม่พบ อย่างไรก็ตาม ใบรับรองที่ระบุดูเหมือนจะออกโดย 'Microsoft Code Signing PCA 2011' แต่ขาดการตรวจสอบและลายเซ็นต์ที่ถูกต้อง